中国国家安全部：警惕境外SDK收集中国用户数据和个人信息

中国国家安全部：警惕境外SDK收集中国用户数据和个人信息 今日，中国国家安全部发文表示，近年来，国家安全机关工作发现，境外一些别有用心的组织和人员，正在通过 SDK 搜集中国的用户数据和个人信息，给国家安全造成了一定风险隐患。 文章表示，当前，SDK 以其多样化、易用性和灵活性等优势成为移动供应产业链中最重要的一项服务，与此同时也带来诸多数据安全问题。 有些 SDK 会收集与提供服务无关的个人信息，或强制申请非必要的使用权限，比如获取地理位置、通话记录、相册照片等信息以及拍照、录音等功能。一些境外 SDK 服务商，通过向开发者提供免费服务，甚至向开发者付费等方式来获取数据。 2022 年 4 月，巴拿马一家公司通过向世界各地的应用程序开发人员付费的方式，将其 SDK 代码整合到应用程序中，秘密地从数百万台移动设备上收集数据，而该公司与为美国情报机构提供网络情报搜集等服务的国防承包商关系密切。 、

非机密信件披露美国国家安全局无证购买美国人的互联网浏览数据

非机密信件披露美国国家安全局无证购买美国人的互联网浏览数据 在《纽约时报》获得的一封 12 月 11 日写给俄勒冈州民主党参议员罗恩-怀登（Ron Wyden）的非机密信件中，美国国家安全局局长保罗-中曾根（Paul Nakasone）证实，美国国家安全局从数据经纪人那里购买了有关美国人国内互联网活动的互联网元数据。更令人担忧的是，美国国家安全局这样做是没有授权令的。中曾根强调，美国国家安全局收集的数据不包括私人互联网通信内容。这些信息也不包括"已知在美国使用的"手机的定位数据，美国国家安全局也不购买或使用美国汽车的定位数据。国家安全局局长说，这些信息用于执行国防部的合法任务，如情报、人员安全和网络安全。在给国家情报总监艾弗里尔-海因斯（Avril Haines）的一封信中，怀登称这种做法属于"法律灰色地带"，并补充说国家安全局一直试图对其行为保密。这位参议员说，政府需要"警醒"，需要制定新的规则，确保这些组织只能购买美国人同意出售的数据。怀登还希望美国国家安全局对该机构购买的美国人个人数据进行清查，并清除不符合美国联邦贸易委员会合法个人数据销售标准的任何数据："美国政府不应该资助一个不光彩的行业并使其合法化，这个行业公然侵犯美国人的隐私不仅不道德，而且是非法的。"国防部副部长罗纳德-S-穆特里在另一封信中为国安局的做法辩护，称这种做法受到各种保障措施的制约。他在信中写道："我不知道美国法律或司法意见中有任何规定[......]国防部必须获得法院命令才能获取、访问或使用 CAI 等信息，这些信息对外国对手、美国公司和私人与对美国政府一样可以购买。"美国联邦贸易委员会多年来一直反对数据经纪商未经同意出售人们的信息。2022 年，该机构起诉了 Kochava 公司，指控其利用人们的手机数据出售他们的精确位置，侵犯了数百万人的隐私。本月早些时候，美国联邦贸易委员会还对数据经纪商X-Mode Social出售位置数据提起诉讼。怀登说，互联网元数据可能与位置数据一样敏感，因为它可以识别出寻求自杀热线或性侵犯或家庭虐待幸存者热线帮助的美国人。互联网元数据还可以突出显示那些寻求远程医疗服务提供商帮助的美国人，这些医疗服务提供商主要提供堕胎药。 ... PC版： 手机版：

TikTok 承认部分美国用户数据存储在中国

TikTok 承认部分美国用户数据存储在中国 该公司周五回应了参议院两党领导人最近致 TikTok 首席执行官周受资的一封信，信中就 TikTok 存储其美国用户数据的位置向国会提出的“不正确说法”提出了担忧。 在 Chew 向众议院委员会作证“美国数据一直存储在弗吉尼亚和新加坡”几周后，《福布斯》的一项调查发现，TikTok 已将其最大的美国和欧洲明星（包括 TikTok Creator Fund 中的那些人）的财务信息存储在服务器在中国。此后，参议院民主党人理查德布卢门撒尔和共和党人玛莎布莱克本要求得到答案。 在 TikTok 对他们问题的回应中，该公司表示，“TikTok 应用程序收集的美国用户数据”与创作者提供给 TikTok 以便他们可以为发布的内容付费的信息之间存在差异。TikTok 表示，前者存储在 TikTok 在美国和新加坡的数据中心。它没有明确说明后者的存储位置。福布斯获得的大量内部文件以及公司不同部门的几名知情人士表明，来自创作者和外部供应商的税务表格、社会保险号码和其他信息已存储在中国；通过 TikTok 位于中国的母公司 ByteDance 的工具管理对两者的付款。

美国政府购买大量美国人的个人商业数据引发隐私和公民自由问题

美国政府购买大量美国人的个人商业数据引发隐私和公民自由问题 这份近期解密的政府报告首次证实，美国情报和间谍机构购买了大量有关美国人的商业信息，包括来自联网车辆的数据、网络浏览数据和智能手机。美国政府自己承认，它购买的数据“显然提供了情报价值”，但也“引发了与隐私和公民自由相关的重大问题”。 应参议员罗恩·怀登 (D-OR) 的要求披露情报界如何使用商业数据，此类数据由联网设备生成，并由数据经纪人提供以供购买，例如收集精细位置数据的电话应用程序和车辆，以及在用户浏览互联网时跟踪用户的网络浏览数据。 这份解密报告是美国政府首次公开披露与美国人的商业数据相关的风险，这些数据可以被任何人轻易购买，包括对手和敌对国家。美国没有管理美国人私人信息共享或出售的隐私或数据保护法。 在报告发表后的一份声明中，怀登说：“这项审查表明，政府现有政策未能为美国人的隐私提供必要的保障，也未能监督机构购买和使用个人数据的方式。”“根据这份报告，ODNI 甚至不知道哪些联邦情报机构正在购买美国人的个人数据，”怀登补充道。 怀登呼吁国会通过立法，“为政府采购设置护栏，控制收集和出售这些数据的私营公司，并防止美国人的个人信息落入我们的对手之手。” 、

印度命令 VPN 提供商收集用户数据

印度命令 VPN 提供商收集用户数据 印度计算机应急响应小组（CERT-In） 政府组织、企业、服务提供商、数据中心和中介机构在6小时内报告网络事件。 联邦电子和信息技术国务部长 Rajeev Chandrasekhar 说，“为了有效地打击网络犯罪，必须强制所有公司和企业向 IndianCERT 报告网络事件，根据《信息技术法》第70b条发布的新的网络安全指示，以实现安全和可信的互联网“。 近年来，印度的网络攻击已大幅增加。根据 Palo Alto Networks 的数据，仅勒索软件攻击在2021年就增加了218%。 但是，CERT-In 还要求云服务提供商和VPN供应商记录他们的用户 托管钱包、交易所、虚拟资产提供商、云提供商甚至VPN提供商都将必须保留其客户记录（KYC）和金融交易记录长达五年；服务提供商将保持其系统的日志180天。 这将破坏使用 VPN 的目的，并创造出可能被滥用于监视或盗窃的数据蜜罐。 #India #privacy

美国联邦贸易委员会禁止杀毒软件Avast向广告商出售用户浏览数据

美国联邦贸易委员会禁止杀毒软件Avast向广告商出售用户浏览数据 美国联邦贸易委员会 (FTC) 周四表示，将禁止杀毒软件巨头 Avast 向广告商出售消费者的网络浏览数据，并对其处以1650万美元的罚款。FTC 表示，至少自2014年以来，该公司一直通过浏览器扩展及其杀毒软件收集消费者的浏览信息。诉状称，Avast 从2014年到2020年通过其子公司 Jumpshot 将收集数据出售给100多个第三方，包括广告、营销和数据分析公司以及数据经纪人。